Gestern 23GB incoming Traffic - Hacked? Keine Anzeichen gefunden.

[dave187]

Hallo,
wie gesagt gestern hatten wir 23GB incoming Traffic. Normal sind 2-3.

Ich habe mit Ports mir nmap gescannt und nichts auffälliges gefunden auf dem Server selbst ist auch nicht auffälliges. Habe mit chkrootkit gescannt und auch nichts gefunden. Allerdings habe ich es erst nachdem der Traffic so hoch war installiert.

Habe heute Nacht mal das rescue system gebootet um zu schauen das mit dem Traffic Monitor bei Hetzner alles OK ist. Scheint aber OK zu sein. Hatte 0 Traffic heut Nacht.

Bevor ich neu installiere würde ich gerne einen Anhaltspunkt haben ob ich wircklich gehackt wurde. Gibts es von euch irgendwelche Ideen was ich noch probieren könnte?

Ich habe mal alle von mir installierten Dienste beendet. Jetzt läuft noch folgendes:

Code: Select all

USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  1504  512 ?        S    12:39   0:00 init [2]
root         2  0.0  0.0     0    0 ?        S    12:39   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SN   12:39   0:00 [ksoftirqd/0]
root         4  0.2  0.0     0    0 ?        S<   12:39   0:02 [events/0]
root         5  0.0  0.0     0    0 ?        S<   12:39   0:00 [khelper]
root         6  0.0  0.0     0    0 ?        S<   12:39   0:00 [kacpid]
root        44  0.0  0.0     0    0 ?        S<   12:39   0:00 [kblockd/0]
root        54  0.0  0.0     0    0 ?        S    12:39   0:00 [pdflush]
root        55  0.0  0.0     0    0 ?        S    12:39   0:00 [pdflush]
root        56  0.0  0.0     0    0 ?        S    12:39   0:00 [kswapd0]
root        57  0.0  0.0     0    0 ?        S<   12:39   0:00 [aio/0]
root       193  0.0  0.0     0    0 ?        S    12:39   0:00 [kseriod]
root       212  0.0  0.0     0    0 ?        S<   12:39   0:00 [xfslogd/0]
root       213  0.0  0.0     0    0 ?        S<   12:39   0:00 [xfsdatad/0]
root       214  0.0  0.0     0    0 ?        S    12:39   0:00 [xfsbufd]
root       219  0.0  0.0     0    0 ?        S<   12:39   0:00 [ata/0]
root       220  0.0  0.0     0    0 ?        S    12:39   0:00 [scsi_eh_0]
root       221  0.0  0.0     0    0 ?        S    12:39   0:00 [scsi_eh_1]
root       267  0.0  0.0     0    0 ?        S    12:39   0:00 [shpchpd_event]
root       284  0.0  0.0     0    0 ?        S    12:39   0:00 [khubd]
root       314  0.0  0.0     0    0 ?        S    12:39   0:00 [pciehpd_event]
root       324  0.0  0.0     0    0 ?        S    12:39   0:00 [md1_raid1]
root       327  0.0  0.0     0    0 ?        S    12:39   0:00 [md3_raid1]
root       353  0.0  0.0     0    0 ?        S    12:39   0:00 [kjournald]
root       599  0.0  0.0     0    0 ?        S    12:39   0:00 [md4_raid1]
root       605  0.0  0.0     0    0 ?        S    12:39   0:00 [md2_raid1]
root       611  0.0  0.0     0    0 ?        S    12:39   0:00 [md0_raid1]
root       624  0.0  0.0     0    0 ?        S    12:39   0:00 [kjournald]
root       625  0.0  0.0     0    0 ?        S    12:39   0:00 [kjournald]
root       626  0.0  0.0     0    0 ?        S<   12:39   0:00 [reiserfs/0]
root      1855  0.0  0.0  1560  632 ?        Ss   12:39   0:00 /sbin/syslogd
root      1858  0.0  0.1  2448 1492 ?        Ss   12:39   0:00 /sbin/klogd
root      1864  0.0  0.0  1496  444 ?        Ss   12:39   0:00 /usr/sbin/inetd
root      1871  0.0  0.1  3468 1500 ?        Ss   12:39   0:00 /usr/sbin/sshd
root      1877  0.0  0.0  1696  664 ?        Ss   12:39   0:00 /sbin/mdadm -F -i /var/run/mdadm.pid -m xxx@xxxxx.de -f -s
daemon    1915  0.0  0.0  1684  628 ?        Ss   12:39   0:00 /usr/sbin/atd
root      1918  0.0  0.0  1764  816 ?        Ss   12:39   0:00 /usr/sbin/cron
root      2002  0.0  0.0  1500  484 tty1     Ss+  12:39   0:00 /sbin/getty 38400 tty1
root      2003  0.0  0.0  1500  484 tty2     Ss+  12:39   0:00 /sbin/getty 38400 tty2
root      2004  0.0  0.0  1500  484 tty3     Ss+  12:39   0:00 /sbin/getty 38400 tty3
root      2005  0.0  0.0  1500  484 tty4     Ss+  12:39   0:00 /sbin/getty 38400 tty4
root      2006  0.0  0.0  1500  484 tty5     Ss+  12:39   0:00 /sbin/getty 38400 tty5
root      2007  0.0  0.0  1500  484 tty6     Ss+  12:39   0:00 /sbin/getty 38400 tty6
root      2136  0.0  0.1 14452 2032 ?        Rs   12:45   0:00 sshd: root@pts/4
root      2139  0.0  0.1  3052 1704 pts/4    Rs   12:46   0:00 -bash
root      2209  0.0  0.0  2496  848 pts/4    R+   12:59   0:00 ps -axu

Läuft da noch irgendwas, was untypisch ist?

Auf dem Server ist das Hetzner minimal Debian intalliert.

[thorsten]

geh in den rescue modus und schau dir die Platte an! Irgendwo wird sich wohl einiger Schweinkram verstecken.

Dann hol dir nen aktuellen chkrootkit und scan die Platte.

Hast du das Tool vnstat installiert? Wenn ja gib mal vnstat -t ein. Da siehst du grob ab wann so viel Traffik generiert wurde.

Ich würde an deiner Stelle dem System nicht mehr trauen!

[rootsvr]

Incoming Traffic wäre wohl entweder files (Du wirst als Warez-Share missbraucht oder ein einfacher DoS Angriff. Solange Du nicht übermäßig Traffic Outbound hast würde ich mir nicht sooo viele Sorgen machen.

[dave187]

Leider hatte ich schon alles Platt gemacht, konnte deine Tipps also nicht umsetzen.

Bin jetzt gerade fertig. Ich denke das mich tatsächlich jemand als Warez-Schleuder nutzen wollte.

Hab mal ein wenig recheschiert. Mein Teamspeak war exploitable. Vielleicht hat er dies ausgenutzt und dann sich als lokaler user root rechte besorgt. Habe gelesen das es mal wieder einen aktuellen Bug im Kernel gab.

Danke euch!

[aubergine]

"Platt" machen ohne zu wissen was der Auslöser war bzw. was überhaupt ist immer sehr sehr schlecht...

Wenn du Glück hast passiert das gleiche nochmal wenn du wieder fertig bist.

[kase]

Wie schon mal geschrieben von rootsvr:

IN Traffic muss nicht gleich ein Anzeichen dafür sein, dass dein Server exploited wurde.

Vielleicht hat einfach jemand einen offenen UDP Port bombadiert, oder ein bißchen mit Ping "gespielt".

Bei OUT-Traffic würde ich mir da wesentlich mehr gedanken machen.

[dave187]

Ich werde es mir für das nächste mal merken. :)

Hab wohl etwas panisch reagiert.

Hetzner hat mir ein paar Logs zukommen lassen aus dehnen hervorgeht das tatsächlich sehr viel des Traffics auf den Gameserver Ports enstanden ist.

Komisch nur das es ab 03:00 Nachts losging, wo laut Gameserver-Logs, kein Mensch auf den Servern war. Ab da wurden pro Stunde über 1 GB auf der incoming Seite gemessen. Das ging so bis zum nächsten Abend. Dann erst fand ich in den Gamerserver-Logs Leute die gespielt haben.

Was kann der Grund eines solchen bombardements von Packeten sein? Falls er die Gameserver platt machen wollte hat er dies auf jedenfall nicht erreicht, da abends die Leute ohne besondere Ping-Probleme spielen konnte.

[daemotron]

Nicht immer steckt böse Absicht dahinter - könnte auch ein vermurkster Amok-laufender Client gewesen sein, der immer wieder an der Verbindung mit deinem Server gescheitert ist. So lange Du aber keine Gewissheit hast, nimm immer den worst case an - lieber einmal mehr neu aufgesetzt als einmal zu wenig, sonst gibt's irgenwann Besuch von den Grünen 8)

[khark]

Wie? Ihr habt noch nicht von BitTorrent over CounterStrike gehört?

*scnr* :lol: :lol:

[daemotron]

Wie? Ihr habt noch nicht von BitTorrent over CounterStrike gehört?

Und ich dachte, hier geht's um Server und nicht um Spielzeug
SCNR2 :D